I. A LGPD estabelece regras para a proteção de dados pessoais no Brasil com o objetivo de garantir a privacidade dos titulares de dados e o livre fluxo de informações.
II. A Anahp atuou junto ao Congresso Nacional para aperfeiçoar alguns pontos da lei relacionados à saúde, como o compartilhamento de dados sensíveis sem consentimento para fins assistenciais.
III. Este manual fornece recomendações aos hospitais sobre a implementação da LGPD e orienta sobre conceitos, obrigações
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEIWellington Monaco
A lei estabelece regras para o tratamento de dados pessoais no Brasil, definindo direitos dos titulares de dados e responsabilidades dos controladores. A lei cria a Autoridade Nacional de Proteção de Dados para fiscalizar o cumprimento da lei e estabelece sanções para violações. O tratamento de dados deve seguir princípios como licitude, finalidade e transparência.
Nesse breve artigo, tento descomplicar a LGPD. Em 17 slides falamos de dados pessoais (inclusive os sensíveis), agentes responsáveis (controlador e operador), titular de dados pessoais, do DPO, da ANPD, multas e sanções, além de dicas para estar em conformidade com a Lei Geral de Proteção de Dados.
Este documento fornece um resumo sobre o curso "Lei Geral de Proteção de Dados Pessoais (LGPD)". O curso explica os conceitos-chave da LGPD, como dado pessoal e titularidade de dados. Também discute a importância crescente dos dados pessoais e a necessidade de protegê-los, traçando a evolução histórica da legislação de proteção de dados em nível global e no Brasil. Finalmente, explica os principais pontos da LGPD e como ela impacta as relações negociais e o dia a dia
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaRosalia Ometto
O documento fornece dicas sobre como médicos devem se adequar à Lei Geral de Proteção de Dados Pessoais (LGPD). Ele explica conceitos-chave da LGPD como dados pessoais e sensíveis, os atores envolvidos no tratamento de dados como titulares, encarregados e a ANPD, e as bases legais para o tratamento de dados como consentimento e exceções. O documento também discute como a LGPD se aplica às relações médico-paciente.
A LGPD é a lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020. Foi criada para regular a utilização, proteção e transferências de dados pessoais no Brasil
O documento discute a Lei Geral de Proteção de Dados (LGPD) no Brasil. Em três frases:
A LGPD estabelece regras para coleta, uso, armazenamento e proteção de dados pessoais. Ela define termos como dados pessoais, consentimento e agentes de tratamento. A lei também estabelece princípios como finalidade, adequação, necessidade e transparência para o tratamento de dados.
Este documento apresenta uma introdução à Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD). A apresentação contém 43 slides organizados em 6 partes, abordando tópicos como definição de dados pessoais, princípios da LGPD, direitos do titular e agentes envolvidos no tratamento de dados. O material serve como referência para pessoas e empresas afetadas pela legislação brasileira sobre privacidade e proteção de dados.
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEIWellington Monaco
A lei estabelece regras para o tratamento de dados pessoais no Brasil, definindo direitos dos titulares de dados e responsabilidades dos controladores. A lei cria a Autoridade Nacional de Proteção de Dados para fiscalizar o cumprimento da lei e estabelece sanções para violações. O tratamento de dados deve seguir princípios como licitude, finalidade e transparência.
Nesse breve artigo, tento descomplicar a LGPD. Em 17 slides falamos de dados pessoais (inclusive os sensíveis), agentes responsáveis (controlador e operador), titular de dados pessoais, do DPO, da ANPD, multas e sanções, além de dicas para estar em conformidade com a Lei Geral de Proteção de Dados.
Este documento fornece um resumo sobre o curso "Lei Geral de Proteção de Dados Pessoais (LGPD)". O curso explica os conceitos-chave da LGPD, como dado pessoal e titularidade de dados. Também discute a importância crescente dos dados pessoais e a necessidade de protegê-los, traçando a evolução histórica da legislação de proteção de dados em nível global e no Brasil. Finalmente, explica os principais pontos da LGPD e como ela impacta as relações negociais e o dia a dia
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaRosalia Ometto
O documento fornece dicas sobre como médicos devem se adequar à Lei Geral de Proteção de Dados Pessoais (LGPD). Ele explica conceitos-chave da LGPD como dados pessoais e sensíveis, os atores envolvidos no tratamento de dados como titulares, encarregados e a ANPD, e as bases legais para o tratamento de dados como consentimento e exceções. O documento também discute como a LGPD se aplica às relações médico-paciente.
A LGPD é a lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020. Foi criada para regular a utilização, proteção e transferências de dados pessoais no Brasil
O documento discute a Lei Geral de Proteção de Dados (LGPD) no Brasil. Em três frases:
A LGPD estabelece regras para coleta, uso, armazenamento e proteção de dados pessoais. Ela define termos como dados pessoais, consentimento e agentes de tratamento. A lei também estabelece princípios como finalidade, adequação, necessidade e transparência para o tratamento de dados.
Este documento apresenta uma introdução à Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD). A apresentação contém 43 slides organizados em 6 partes, abordando tópicos como definição de dados pessoais, princípios da LGPD, direitos do titular e agentes envolvidos no tratamento de dados. O material serve como referência para pessoas e empresas afetadas pela legislação brasileira sobre privacidade e proteção de dados.
A LGPD estabelece novas regras para a coleta e uso de dados pessoais no Brasil, incluindo o direito dos cidadãos saberem como suas informações são usadas e compartilhadas, e exigindo consentimento para coleta e uso de dados sensíveis. As empresas devem coletar apenas dados necessários e informar os cidadãos sobre vazamentos.
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisRosalia Ometto
Respondendo a 12 perguntas principais sobre a LGPD (Lei Geral de Proteção de Dados Pessoais), a proprietária da Ometto Advocacia, Rosália Ometto, dá dicas importantes sobre a Privacidade de Dados Pessoais e Compliance.
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...Wellington Monaco
O documento descreve as etapas para adequar uma corporação à Lei Geral de Proteção de Dados, incluindo mapear processos e fluxos de dados, analisar riscos à privacidade, revisar políticas e contratos, implantar controles e monitoramento contínuo para garantir a proteção dos dados pessoais de acordo com a legislação.
Inspirada na lei europeia GDPR (General Data Protection Regulation) que já foi colocada em prática pela comunidade no final de maio de 2018, a LGPD já em vigor no Brasil com prazo de implantação até agosto 2020, tem como objetivo de reforçar a segurança jurídica dos dados pessoais dos indivíduos e mitigar abusos em relação a estes ativos tão poderosos e valiosos. Nesta apresentação iremos abordar um método de implantação da LGPD nas empresas do Brasil e os principais pontos de adequação a seus requisitos.
A importância da Segurança da Informação e os impactos da LGPDEliézer Zarpelão
Este documento discute a importância da segurança da informação e os impactos da Lei Geral de Proteção de Dados (LGPD) no Brasil. Apresenta os princípios da segurança da informação, como a criptografia pode garantir a segurança dos dados, e explica os conceitos-chave da LGPD como controle, operador e dados pessoais. Também discute possíveis sanções por violações da LGPD e como a lei pode afetar a vida dos cidadãos e empresas.
Principais pontos da Lei Geral de Proteção de Dados Pessoais em relação à segurança da informação. Conteúdo:
Noções gerais e conceitos fundamentais
Padrões técnicos de segurança e sigilo
Padrões técnicos recomendados pela ANPD
Privacy by Design
Relatório de impacto à proteção de dados pessoais
Garantia da segurança da informação
Comunicação em caso de incidentes
Criação e adoção de boas práticas
Encarregado/Data Protection Officer (DPO)
Este documento resume três pontos principais sobre a Lei Geral de Proteção de Dados (LGPD): 1) A LGPD estabelece regras rígidas para a coleta, armazenamento e uso de dados pessoais no Brasil; 2) A LGPD introduz conceitos como titular, controlador, operador e encarregado de dados e define suas responsabilidades; 3) A LGPD exige que as empresas realizem o ciclo completo de tratamento de dados com base em princípios como finalidade, necessidade e transparência.
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...Wellington Monaco
Considerando-se a Jornada de Adequação à LGPD, faz-se necessário ressaltar a importância da Governança Corporativa na qual o SPGD -Sistema de Gestão de Proteção de Dados é um artefato fundamental para esta desafio corporativo.
O documento discute a Lei Geral de Proteção de Dados (LGPD) no Brasil, destacando seus principais aspectos como escopo, direitos dos titulares de dados, responsabilidades das empresas, sanções por violações e serviços de consultoria para adequação à lei.
Novo Regulamento Geral de Proteção de Dados - guia para marketeersfredericocarvalho.pt
NOVIDADE! 📖 Eu e a minha equipa 🙏💪 preparámos um Guia sobre o Novo Regulamento de Proteção de Dados 2018, para Marketers 🤠
→ Confira aqui: http://bit.ly/rgpd2018
• Aprender os princípios relativos ao tratamento de dados pessoais;
• Identificar e compreender o alcance do novo Regulamento Geral de Proteção de Dados em algumas operações de marketing;
• Conhecer os mecanismos que o regulamento instituiu para a proteção de dados, bem como as novas obrigações que vem estabelecer;
• Conhecer as novas regras sobre notificações de violações de dados pessoais;
• Conhecer as responsabilidades do encarregado pelo pelo tratamento dos dados;
• Quais as obrigações em caso de violação de dados pessoais;
e muito mais...
→ Confira as informações com maior relevo : http://bit.ly/rgpd2018
O documento discute a Lei Geral de Proteção de Dados (LGPD) no Brasil, incluindo perguntas frequentes sobre o que é a LGPD, quando entrou em vigor, conceito de dados pessoais, penalizações e importância da conformidade com a lei.
Com o uso intenso de mídia social e os dados espalhados em “Big Data”, a privacidade de dados tem sido uma preocupação pública crescente.
Reconhecendo esse problema, entidades e Governos estão promovendo melhores técnicas de privacidade; especificamente privacidade diferencial, uma condição matemática que quantifica o risco.
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaGraziela Brandão
O documento fornece informações sobre o que é mapeamento de dados, seus objetivos e como elaborar um mapa de dados para adequação à LGPD. Explica que o mapeamento de dados documenta o fluxo de dados pessoais na empresa e é essencial para análise de vulnerabilidades. Fornece detalhes sobre como preencher um mapa de dados, incluindo categorias de dados, volume, fluxo, tecnologias, segurança e mais.
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...Wellington Monaco
O objetivo deste material é a apresentação de uma Jornada de Adequação Corporativa à nova Legislação de Proteção de Dados - LGPD - considerando-se um Framework | Sistema proposto pela Exin.
O Framework proposta é composto por 5 Fases a saber:
- Fase-1: Preparação
- Fase-2: Organização
- Fase-3: Desenvolvimento e Implementação
- Fase-4: Governança
- Fase-5 Avaliação e Melhoria
Esta apresentação detalha a FASE-2: ORGANIZAÇÃO
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
O documento descreve as cinco fases de um Sistema de Gestão de Proteção de Dados (SGPD), sendo elas: (1) Preparação, (2) Organização, (3) Desenvolvimento e Implementação, (4) Governança e (5) Avaliação e Melhoria. Cada fase inclui etapas, ações e resultados esperados para estruturar um processo responsável pelo gerenciamento e mitigação de riscos de proteção de dados e privacidade.
O documento discute a Lei Geral de Proteção de Dados (LGPD) no Brasil. A lei estabelece regras rígidas para a coleta e uso de dados pessoais e dá mais poder aos cidadãos sobre seus dados. As empresas precisarão obter consentimento explícito dos usuários e fornecer transparência sobre como os dados são usados. Haverá multas pesadas para quem violar a lei quando ela entrar em vigor completamente em agosto de 2020.
O objetivo deste ciclo de palestras específico à Legislação de Proteção de Dados Pessoais – LGPD – que inicialmente entra em vigor a partir de Agosto/2020. é desmistificar e elucidar as informações básicas dos principais impactos corporativos que tal legislação trará induzindo a um novo modelo corporativo.
Mediante a data prevista para entrar em vigor, muitas abordagens sobre a legislação têm sido realizadas e uma certa dificuldade em se diferenciar as atribuições de Segurança da Informação e a Privacidade dos Dados Pessoais tem se evidenciado.
O público alvo destas palestras propostas é todo o colaborador, fornecedor e cliente da Contratante, independentemente da sua formação técnica em tecnologia da informação e formação jurídica, uma vez que, o foco principal é a evangelização dos aspectos corporativos envolvidos à partir da vigência desta nova legislação.
A quantidade de participantes é restrita às instalações disponibilizadas pelo Contratante.
Cabe aos profissionais e administradores de serviços de saúde estabelecerem condições, para que o paciente autônomo possa decidir quais informações quer manter sob seu exclusivo controle, e quais quer comunicar a familiares, colegas ou à própria sociedade, decidindo quando, onde e em que condições quer que sejam reveladas. O ser autônomo deve ter liberdade de guardar para si mesmo fatos pessoais que não deseja serem revelados a outras pessoas.
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...Wellington Monaco
O documento descreve as fases e etapas de implementação de um Sistema de Gestão de Proteção de Dados (SGPD) de acordo com a LGPD. A fase 1 envolve a preparação, a fase 2 a organização, a fase 3 o desenvolvimento e implementação, a fase 4 a governança e a fase 5 a avaliação e melhoria contínua. Cada fase inclui etapas, ações e resultados esperados para estruturar um processo responsável pela proteção e privacidade de dados pessoais.
1) O documento discute a Lei Geral de Proteção de Dados Pessoais no Brasil e como a Rede Nacional de Ensino e Pesquisa irá apoiar instituições de ensino e pesquisa na adequação à lei.
2) A lei regulamenta o tratamento de dados pessoais coletados por instituições públicas e privadas para proteger a privacidade dos cidadãos.
3) A adequação à lei exige que as instituições implementem medidas como políticas de privacidade e segurança para proteger os dados dos usuários.
Defesa Especialização - As Informações da Atenção à Saúde no Brasil e a Lei d...Leandro Panitz
Apresentação utilizada para defesa de especialização na ENSP FIOCRUZ.
Titulo: As Informações da Atenção à Saúde no Brasil e a Lei de Acesso as Informações
A LGPD estabelece novas regras para a coleta e uso de dados pessoais no Brasil, incluindo o direito dos cidadãos saberem como suas informações são usadas e compartilhadas, e exigindo consentimento para coleta e uso de dados sensíveis. As empresas devem coletar apenas dados necessários e informar os cidadãos sobre vazamentos.
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisRosalia Ometto
Respondendo a 12 perguntas principais sobre a LGPD (Lei Geral de Proteção de Dados Pessoais), a proprietária da Ometto Advocacia, Rosália Ometto, dá dicas importantes sobre a Privacidade de Dados Pessoais e Compliance.
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...Wellington Monaco
O documento descreve as etapas para adequar uma corporação à Lei Geral de Proteção de Dados, incluindo mapear processos e fluxos de dados, analisar riscos à privacidade, revisar políticas e contratos, implantar controles e monitoramento contínuo para garantir a proteção dos dados pessoais de acordo com a legislação.
Inspirada na lei europeia GDPR (General Data Protection Regulation) que já foi colocada em prática pela comunidade no final de maio de 2018, a LGPD já em vigor no Brasil com prazo de implantação até agosto 2020, tem como objetivo de reforçar a segurança jurídica dos dados pessoais dos indivíduos e mitigar abusos em relação a estes ativos tão poderosos e valiosos. Nesta apresentação iremos abordar um método de implantação da LGPD nas empresas do Brasil e os principais pontos de adequação a seus requisitos.
A importância da Segurança da Informação e os impactos da LGPDEliézer Zarpelão
Este documento discute a importância da segurança da informação e os impactos da Lei Geral de Proteção de Dados (LGPD) no Brasil. Apresenta os princípios da segurança da informação, como a criptografia pode garantir a segurança dos dados, e explica os conceitos-chave da LGPD como controle, operador e dados pessoais. Também discute possíveis sanções por violações da LGPD e como a lei pode afetar a vida dos cidadãos e empresas.
Principais pontos da Lei Geral de Proteção de Dados Pessoais em relação à segurança da informação. Conteúdo:
Noções gerais e conceitos fundamentais
Padrões técnicos de segurança e sigilo
Padrões técnicos recomendados pela ANPD
Privacy by Design
Relatório de impacto à proteção de dados pessoais
Garantia da segurança da informação
Comunicação em caso de incidentes
Criação e adoção de boas práticas
Encarregado/Data Protection Officer (DPO)
Este documento resume três pontos principais sobre a Lei Geral de Proteção de Dados (LGPD): 1) A LGPD estabelece regras rígidas para a coleta, armazenamento e uso de dados pessoais no Brasil; 2) A LGPD introduz conceitos como titular, controlador, operador e encarregado de dados e define suas responsabilidades; 3) A LGPD exige que as empresas realizem o ciclo completo de tratamento de dados com base em princípios como finalidade, necessidade e transparência.
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...Wellington Monaco
Considerando-se a Jornada de Adequação à LGPD, faz-se necessário ressaltar a importância da Governança Corporativa na qual o SPGD -Sistema de Gestão de Proteção de Dados é um artefato fundamental para esta desafio corporativo.
O documento discute a Lei Geral de Proteção de Dados (LGPD) no Brasil, destacando seus principais aspectos como escopo, direitos dos titulares de dados, responsabilidades das empresas, sanções por violações e serviços de consultoria para adequação à lei.
Novo Regulamento Geral de Proteção de Dados - guia para marketeersfredericocarvalho.pt
NOVIDADE! 📖 Eu e a minha equipa 🙏💪 preparámos um Guia sobre o Novo Regulamento de Proteção de Dados 2018, para Marketers 🤠
→ Confira aqui: http://bit.ly/rgpd2018
• Aprender os princípios relativos ao tratamento de dados pessoais;
• Identificar e compreender o alcance do novo Regulamento Geral de Proteção de Dados em algumas operações de marketing;
• Conhecer os mecanismos que o regulamento instituiu para a proteção de dados, bem como as novas obrigações que vem estabelecer;
• Conhecer as novas regras sobre notificações de violações de dados pessoais;
• Conhecer as responsabilidades do encarregado pelo pelo tratamento dos dados;
• Quais as obrigações em caso de violação de dados pessoais;
e muito mais...
→ Confira as informações com maior relevo : http://bit.ly/rgpd2018
O documento discute a Lei Geral de Proteção de Dados (LGPD) no Brasil, incluindo perguntas frequentes sobre o que é a LGPD, quando entrou em vigor, conceito de dados pessoais, penalizações e importância da conformidade com a lei.
Com o uso intenso de mídia social e os dados espalhados em “Big Data”, a privacidade de dados tem sido uma preocupação pública crescente.
Reconhecendo esse problema, entidades e Governos estão promovendo melhores técnicas de privacidade; especificamente privacidade diferencial, uma condição matemática que quantifica o risco.
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaGraziela Brandão
O documento fornece informações sobre o que é mapeamento de dados, seus objetivos e como elaborar um mapa de dados para adequação à LGPD. Explica que o mapeamento de dados documenta o fluxo de dados pessoais na empresa e é essencial para análise de vulnerabilidades. Fornece detalhes sobre como preencher um mapa de dados, incluindo categorias de dados, volume, fluxo, tecnologias, segurança e mais.
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...Wellington Monaco
O objetivo deste material é a apresentação de uma Jornada de Adequação Corporativa à nova Legislação de Proteção de Dados - LGPD - considerando-se um Framework | Sistema proposto pela Exin.
O Framework proposta é composto por 5 Fases a saber:
- Fase-1: Preparação
- Fase-2: Organização
- Fase-3: Desenvolvimento e Implementação
- Fase-4: Governança
- Fase-5 Avaliação e Melhoria
Esta apresentação detalha a FASE-2: ORGANIZAÇÃO
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
O documento descreve as cinco fases de um Sistema de Gestão de Proteção de Dados (SGPD), sendo elas: (1) Preparação, (2) Organização, (3) Desenvolvimento e Implementação, (4) Governança e (5) Avaliação e Melhoria. Cada fase inclui etapas, ações e resultados esperados para estruturar um processo responsável pelo gerenciamento e mitigação de riscos de proteção de dados e privacidade.
O documento discute a Lei Geral de Proteção de Dados (LGPD) no Brasil. A lei estabelece regras rígidas para a coleta e uso de dados pessoais e dá mais poder aos cidadãos sobre seus dados. As empresas precisarão obter consentimento explícito dos usuários e fornecer transparência sobre como os dados são usados. Haverá multas pesadas para quem violar a lei quando ela entrar em vigor completamente em agosto de 2020.
O objetivo deste ciclo de palestras específico à Legislação de Proteção de Dados Pessoais – LGPD – que inicialmente entra em vigor a partir de Agosto/2020. é desmistificar e elucidar as informações básicas dos principais impactos corporativos que tal legislação trará induzindo a um novo modelo corporativo.
Mediante a data prevista para entrar em vigor, muitas abordagens sobre a legislação têm sido realizadas e uma certa dificuldade em se diferenciar as atribuições de Segurança da Informação e a Privacidade dos Dados Pessoais tem se evidenciado.
O público alvo destas palestras propostas é todo o colaborador, fornecedor e cliente da Contratante, independentemente da sua formação técnica em tecnologia da informação e formação jurídica, uma vez que, o foco principal é a evangelização dos aspectos corporativos envolvidos à partir da vigência desta nova legislação.
A quantidade de participantes é restrita às instalações disponibilizadas pelo Contratante.
Cabe aos profissionais e administradores de serviços de saúde estabelecerem condições, para que o paciente autônomo possa decidir quais informações quer manter sob seu exclusivo controle, e quais quer comunicar a familiares, colegas ou à própria sociedade, decidindo quando, onde e em que condições quer que sejam reveladas. O ser autônomo deve ter liberdade de guardar para si mesmo fatos pessoais que não deseja serem revelados a outras pessoas.
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...Wellington Monaco
O documento descreve as fases e etapas de implementação de um Sistema de Gestão de Proteção de Dados (SGPD) de acordo com a LGPD. A fase 1 envolve a preparação, a fase 2 a organização, a fase 3 o desenvolvimento e implementação, a fase 4 a governança e a fase 5 a avaliação e melhoria contínua. Cada fase inclui etapas, ações e resultados esperados para estruturar um processo responsável pela proteção e privacidade de dados pessoais.
1) O documento discute a Lei Geral de Proteção de Dados Pessoais no Brasil e como a Rede Nacional de Ensino e Pesquisa irá apoiar instituições de ensino e pesquisa na adequação à lei.
2) A lei regulamenta o tratamento de dados pessoais coletados por instituições públicas e privadas para proteger a privacidade dos cidadãos.
3) A adequação à lei exige que as instituições implementem medidas como políticas de privacidade e segurança para proteger os dados dos usuários.
Defesa Especialização - As Informações da Atenção à Saúde no Brasil e a Lei d...Leandro Panitz
Apresentação utilizada para defesa de especialização na ENSP FIOCRUZ.
Titulo: As Informações da Atenção à Saúde no Brasil e a Lei de Acesso as Informações
- O documento discute o Projeto Cartão Nacional de Saúde e sua implementação no Brasil para promover a identificação, interoperabilidade, integração e informação dos usuários do SUS.
- O objetivo é disponibilizar um cartão que identifique cada usuário do SUS e permita acesso eletrônico às suas informações de saúde, ligando pacientes, profissionais e estabelecimentos.
- Também se discute a limpeza e padronização dos dados da base nacional de saúde para eliminar duplicatas e melhorar a qualidade das informações
Regulamento Geral de Proteção de Dados - Uma Abordagem em Contextos de Presta...BaltasarFernandes
1) O documento discute a implementação do Regulamento Geral de Proteção de Dados (RGPD) no setor de saúde, enfatizando a importância de abordagens de segurança e gestão de dados.
2) É essencial garantir a privacidade, confidencialidade e integridade dos dados de pacientes através de auditorias, certificações de sistemas e uma visão de risco zero para incidentes.
3) As organizações de saúde devem mapear processos, categorizar dados, auditar fluxos de dados e soluções
O documento discute as tecnologias de informação em saúde, o ePatient, o prontuário eletrônico do paciente e seus aspectos éticos e de segurança. Em particular, aborda a necessidade de criação de um intercampo de informação e informática em saúde para integrar os sistemas fragmentados do SUS e facilitar o fluxo de informações entre os diferentes espaços envolvidos no cuidado do paciente.
Aula 2 - Sistemas de Informação em Saúde.pdfmarrudo64
O documento discute Sistemas de Informação em Saúde (SIS). Explica que SIS coletam, organizam e disponibilizam dados de saúde para apoiar a tomada de decisões, e são essenciais para monitorar a situação da saúde e o desempenho de programas de saúde. Também discute desafios na implementação de SIS como interoperabilidade entre sistemas.
Rio Info 2015 - Painel Informação Clínica, Qualidade e Privacidade Os Desafio...Rio Info
O documento discute a arquitetura do barramento nacional da saúde no Brasil e seu impacto nas empresas de desenvolvimento de software. Ele descreve o sistema de saúde pública brasileiro, os desafios de interoperabilidade entre os diferentes níveis de governo, e projetos em andamento para estabelecer padrões e infraestrutura que permitam a troca segura de informações médicas eletrônicas.
Apresentação - Lei Geral de Proteção de Dados: Desafios e Oportunidades (ERP ...MXMSistemas
O documento discute a Lei Geral de Proteção de Dados (LGPD) no Brasil, que entrará em vigor em agosto de 2020. A lei determina como dados pessoais de cidadãos podem ser coletados e usados e prevê punições para violações. Organizações precisarão obter consentimento para coletar dados e relatórios vazamentos de dados em tempo hábil. Violações podem resultar em multas de até 2% da receita da empresa.
1) A Lei Geral de Proteção de Dados (LGPD) estabelece normas para proteger dados pessoais de pessoas naturais coletados e utilizados por instituições.
2) A LGPD se aplica às instituições espíritas que possuem dados de pessoas naturais. Essas instituições devem obter consentimento para coletar e tratar dados respeitando princípios como finalidade, necessidade e transparência.
3) Os titulares de dados têm direitos como acesso, correção e eliminação de seus dados pesso
Minicurso inovacao tecnologia da informacao e saude finalFilipe Cavalcante
Neste minicurso, apresentei como a Tecnologia da Informação pode ser aplicada no contexto da saúde de uma forma prática e com discussões e críticas envolvendo todos os participantes e a minha parceira que também apresentou o minicurso Aline Araújo, que é formada em Enfermagem, fornecendo um ponto de vista do profissional da saúde.
Inteligência Artificial na Saúde - A Próxima Fronteira.pdfMedTechBiz
Inteligência Artificial na Saúde A Próxima Fronteira
A Inteligência Artificial (IA) emergiu como uma aliada poderosa no setor de saúde, revolucionando a maneira como os profissionais médicos diagnosticam, tratam e gerenciam doenças. Ao integrar algoritmos avançados de aprendizado de máquina e processamento de linguagem natural, a IA demonstrou sua capacidade de analisar rapidamente e com precisão vastos conjuntos de dados médicos, fornecendo insights valiosos que podem levar a diagnósticos mais precisos e tratamentos mais eficazes. Desde a interpretação de imagens médicas até o monitoramento em tempo real dos pacientes, as aplicações da IA na área da saúde são vastas e multifacetadas, prometendo aprimorar significativamente a qualidade do atendimento médico e, em última análise, salvar vidas.Este livro é uma jornada fascinante pelas inovações da Inteligência Artificial (IA) aplicadas à saúde, destacando 100 startups pioneiras que estão revolucionando o setor. Através de uma análise exploramos como algoritmos avançados, aprendizado de máquina e processamento de linguagem natural estão moldando o futuro da assistência médica.
EBOOK AMAZON
https://www.amazon.com.br/dp/B0D27X5GS9
O documento introduz os principais conceitos da Lei Geral de Proteção de Dados (LGPD) no Brasil, incluindo dados pessoais, dados sensíveis, titular de dados, controlador e operador. Também descreve os direitos dos titulares de dados e os princípios da LGPD, além de incentivar a adequação à nova lei.
Como o mercado global está aprendendo a ler os valor dos insights tendo como retorno a melhor prática nos negócios e como os consumidores estão imersos no contexto.
O documento discute a importância dos dados abertos para a transparência governamental, permitindo que cidadãos e empresas utilizem e agreguem valor aos dados do governo. Ele também explica como identificar dados abertos usando o framework das Cinco Estrelas e fornece exemplos de iniciativas brasileiras de publicação e uso de dados abertos.
O documento discute a Informática Médica, definida como o campo que lida com armazenamento, recuperação e uso da informação biomédica para resolução de problemas e tomada de decisões. A Informática Médica cresceu devido aos avanços em computação e comunicação e à necessidade de gerenciar informações médicas de forma digital. A SBIS é a Sociedade Brasileira de Informática em Saúde, que promove o desenvolvimento da tecnologia da informação em saúde no Brasil por meio de eventos e colaboração com órg
1. O documento apresenta o estado atual das tecnologias da informação e comunicação da Secretaria Municipal de Saúde de Riachuelo. 2. É sugerido que softwares como Oasis, Fila e um sistema de ouvidoria sejam implantados para melhorar processos administrativos e de atendimento ao público. 3. Também são descritas outras tecnologias atualmente utilizadas como banco de dados MySQL e sistemas do Ministério da Saúde para coleta e transmissão de dados.
1. O documento discute os princípios da administração pública e a gestão do SUS, incluindo modelos de redes de atenção à saúde. É apresentado um programa de governo para melhorar o sistema de saúde com nove pontos como reforçar a atenção primária, reformar unidades básicas de saúde e implementar telemedicina e unidades móveis.
A Lei nº. 13.709, de 14 de agosto de 2018, mais conhecida como Lei Geral de Proteção de Dados, entrará em vigor em agosto de 2020 com texto final alterado pela Medida Provisória nº. 869/2018, aprovada no mês passado. Essa lei, embasada na lei europeia de proteção de dados - GDPR, surge com o objetivo de trazer transparência no tratamento de dados pelas empresas, especialmente àquelas que operam dados para fins de marketing e recursos humanos, garantindo maior proteção e controle aos titulares dos dados.
Diante dessa inovação legislativa, diversas mudanças deverão ser realizadas por quaisquer empresas que tratem dados pessoais o que engloba basicamente (senão absolutamente) toda a malha industrial. A cultura de segurança da informação e privacidade deverá ser implementada, a fim de garantir conformidade com o diploma legal e segurança à empresa e àqueles que com ela se relacionam.
Saiba mais: http://bit.ly/2KIh5h5
3. SOBRE A ANAHP
Disclaimer
Este material foi produzido pelo Grupo de Estudos sobre
a Lei Geral de Proteção de Dados da Anahp, que reúne
representantes dos hospitais associados participantes dos
Grupos de Trabalho: Legal-regulatório, Gestão de Pessoas,
Tecnologia da Informação e Organização Assistencial. Esta
publicação tem como finalidade única prestar informações
sobre o tema LGPD, bem como orientar as instituições
hospitalares sobre a sua implementação. Todos os direi-
tos são reservados. É proibida a duplicação ou reprodução
deste material no todo ou em parte, sob quaisquer formas
ou por quaisquer meios (eletrônico, mecânico, gravação,
fotocópia, distribuição na web ou outros), sem permissão
expressa da Associação.
A Associação Nacional de
Hospitais Privados – Anahp é
a entidade representativa dos
principais hospitais privados
de excelência do país. Criada
em 11 de maio de 2001, du-
rante o 1º Fórum Top Hospi-
tal, em Brasília, e fundada em
11 de setembro do mesmo
ano, a Anahp surgiu para de-
fender os interesses e neces-
sidades do setor e expandir
as melhorias alcançadas pe-
las instituições privadas para
além das fronteiras da saúde
suplementar, favorecendo a
todos os brasileiros.
Atualmente, a entidade ocu-
pa uma função estratégica no
desdobramento de temas fun-
damentais à sustentabilidade
do sistema. Representante de
hospitais reconhecidos pela
certificação de qualidade e se-
gurança no atendimento hospi-
talar, a Anahp está preparada
para fortalecer o relacionamen-
to setorial e contribuir para a re-
flexão sobre o papel da saúde
privada no país.
4. 4 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
CONSELHO DE
ADMINISTRAÇÃO
Presidente: Eduardo Amaro | H. e Maternidade Santa Joana – SP
Vice-Presidente: Henrique Neves | H. Israelita Albert Einstein – SP
Bernardete Weber | H. do Coração (HCor) – SP
Délcio Rodrigues Pereira | H. Anchieta – DF
Francisco Balestrin | H. Vita Curitiba – PR
Henrique Salvador | Rede Mater Dei de Saúde – MG
Paulo Azevedo Barreto l H. São Lucas – SE
Paulo Chapchap | H. Sírio-Libanês – SP
Paulo Junqueira Moll l Hospital Barra D’Or – RJ
5. 5LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
A Lei Geral de Proteção de Dados (LGPD) tem
importância singular na construção e consolida-
ção do mercado digital, devendo cada instituição
encontrar a melhor maneira de promover sua im-
plantação, assegurando a todas as pessoas, se-
jam elas colaboradores, clientes e fornecedores,
a proteção dos seus dados.
No mundo contemporâneo, inovações tecnológicas
surgem a todo momento e impactam diretamen-
te a sociedade, influenciando na maneira como se
relacionam e consomem produtos e serviços. Evi-
dentemente, este novo cenário significa progresso e
acesso à informação, mas ao mesmo tempo,
A Associação, por meio de sua área de Rela-
cionamento Institucional, em Brasília, atuou for-
temente durante a construção do texto da Me-
dida Provisória 869/2018, que alterou alguns
pontos da LGPD.
Solicitações importantes da Anahp, apresen-
tadas ao deputado Orlando Silva (PCdoB-SP),
relator da emenda, foram contempladas na MP,
como o compartilhamento de dados sensíveis
sem consentimento do paciente, com o objetivo
de se obter vantagem econômica (somente se a
troca de dados for necessária para a prestação
de serviços de saúde e de assistência farma-
cêutica ou à saúde, incluídos o diagnóstico e a
terapia, em benefício dos interesses dos titula-
res dos dados); seleção adversa aos planos de
APRESENTAÇÃO
nos deparamos com um mundo totalmente
sem fronteiras, e é justamente esse o desafio
nesse momento: dar segurança jurídica e maior
proteção aos direitos dos titulares dos dados,
apoiando e orientando sobre a implantação, de
forma harmoniosa, da LGPD.
Não é uma missão fácil e tampouco simples. O
objetivo desta cartilha, construída pelo Grupo
de Estudos sobre a Lei Geral de Proteção de
Dados da Anahp, é contribuir com a implemen-
tação da LGPD, trazendo conceitos para com-
preensão dos impactos na prática do dia a dia
das instituições hospitalares.
saúde; e inclusão de “serviços de saúde” para
possibilitar o tratamento de dados sem consen-
timento para a tutela da saúde.
Outro pleito da Associação é o de que um dos três
assentos previstos para representantes de confe-
derações do setor produtivo na Autoridade Nacio-
nal de Proteção de Dados seja da área da saúde,
representado pela CNSaúde.
O esforço da Anahp em advocacy visa estimular
e dar continuidade ao desenvolvimento de novas
terapias e melhoria da prestação de serviços na
cadeia da saúde, sempre com foco no paciente,
entregando melhores resultados para a popula-
ção. A Associação acredita que a lei é benéfica
para a sociedade, uma vez que estabelece pro-
cessos, papéis e dá transparência às relações.
ATUAÇÃO DA ANAHP
GRUPO DE ESTUDOS SOBRE A LEI GERAL
DE PROTEÇÃO DE DADOS DA ANAHP
6. SUMÁRIO
I
VISÃO GERAL DA PROTEÇÃO
DE DADOS NO BRASIL
A. Conceitos
B. Privacidade de dados
C. Segurança da informação
II
PROTEÇÃO DE DADOS
EM SAÚDE
A. Arcabouço normativo da
proteção de dados em saúde
no Brasil
B. Hipóteses de tratamento
C. Comunicação e compartilha-
mento de dados em saúde
para prestação de assistência
D. Notificações compulsórias
8
24
25
27
29
31
16
13
9
7. 7LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
III
AGENTES DE TRATAMENTO
A. Definição
B. Obrigações e responsabilidades
C. DPO
D. Relatório de impacto
IV
OPORTUNIDADES E DESAFIOS
PARA O SETOR
A. Normas de segurança
B. Padrões técnicos
C. Formulários e fluxos de dados
nos hospitais
V
INCIDENTE DE SEGURANÇA
A. Relatório de impacto
B. Mecanismos internos de
supervisão
C. Medidas de mitigação de
riscos
32
44
60
33
46
49
55
62
63
64
36
41
43
9. 9LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
A.
CONCEITOS
A Lei Geral de Proteção de Dados (LGPD) apresenta conceitos especí-
ficos para as expressões mencionadas em seus artigos. Para facilitação
da leitura deste manual e sua interpretação conjunta com o texto legal,
serão utilizados os seguintes conceitos, cujo sentido é o mesmo adota-
do pela lei:
1) Dado pessoal: informação
relacionada à pessoa natural
identificada ou identificável. Essa
informação representa todo e
qualquer dado que possa tornar
uma pessoa identificável, seja ela
diretamente relacionada ao seu ti-
tular (como um nome ou número
de documento) ou mesmo indire-
tamente relacionada, mas com
potencial de identificá-lo(a) (como
endereço, idade, informações so-
bre hábitos de compra, etc);
2) Dado pessoal sensível: dado
pessoal sobre origem racial ou ét-
nica, convicção religiosa, opinião
política, filiação a sindicato ou a
organização de caráter religioso,
filosófico ou político, dado referen-
te à saúde ou à vida sexual, dado
genético ou biométrico, quando
vinculado a uma pessoa natural;
3) Dado anonimizado: dado
relativo ao titular que não possa
ser identificado, considerando a
utilização de meios técnicos razo-
áveis e disponíveis na ocasião de
seu tratamento;
4) Banco de dados: conjunto
estruturado de dados pessoais,
10. 10 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
estabelecido em um ou em vá-
rios locais, em suporte eletrôni-
co ou físico;
5) Titular: pessoa natural a
quem se referem os dados pesso-
ais que são objeto de tratamento;
6) Controlador: pessoa natural
ou jurídica, de direito público ou
privado, a quem compete as deci-
sões referentes ao tratamento de
dados pessoais;
7) Operador: pessoa natural ou
jurídica, de direito público ou pri-
vado, que realiza o tratamento
de dados pessoais em nome do
controlador;
8) Encarregado (DPO): pes-
soa indicada pelo controlador e
operador para atuar como canal
de comunicação entre o contro-
lador, os titulares dos dados e a
Autoridade Nacional de Prote-
ção de Dados;
9) Agentes de tratamento: o
controlador e o operador;
10) Tratamento: toda operação
realizada com dados pessoais,
como as que se referem à coleta,
produção, recepção, classificação,
utilização, acesso, reprodução,
transmissão, distribuição, proces-
samento, arquivamento, armaze-
namento, eliminação, avaliação
ou controle da informação, modi-
ficação, comunicação, transferên-
cia, difusão ou extração;
11) Anonimização: utilização de
meios técnicos razoáveis e dispo-
níveis no momento do tratamento,
por meio dos quais um dado perde
a possibilidade de associação, dire-
ta ou indireta, a um indivíduo;
12) Consentimento: manifes-
tação livre, informada e inequí-
voca pela qual o titular concor-
da com o tratamento de seus
dados pessoais para uma fina-
lidade determinada;
11. 11LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
13) Bloqueio: suspensão tempo-
rária de qualquer operação de tra-
tamento, mediante guarda do dado
pessoal ou do banco de dados;
14) Eliminação: exclusão de
dado ou de conjunto de dados ar-
mazenados em banco de dados,
independentemente do procedi-
mento empregado;
15) Transferência internacio-
nal de dados: transferência de
dados pessoais para país estran-
geiro ou organismo internacional
do qual o país seja membro;
16) Uso compartilhado de
dados: comunicação, difusão,
transferência internacional, in-
terconexão de dados pessoais
ou tratamento compartilhado de
bancos de dados pessoais por en-
tidades e órgãos públicos no cum-
primento de suas competências
legais, ou entre entes privados,
reciprocamente, com autorização
específica, para uma ou mais mo-
dalidades de tratamento permiti-
das por esses entes públicos, ou
entre entes privados;
17) Relatório de impacto à
proteção de dados pessoais:
12. 12 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
documentação do controlador
que contém a descrição dos pro-
cessos de tratamento de dados
pessoais que podem gerar riscos
às liberdades civis e aos direitos
fundamentais, bem como medi-
das, salvaguardas e mecanismos
de mitigação de risco;
18) Órgão de pesquisa: órgão
ou entidade da administração pú-
blica direta ou indireta ou pessoa
jurídica de direito privado sem
fins lucrativos legalmente consti-
tuída sob as leis brasileiras, com
sede e foro no país, que inclua em
sua missão institucional ou em
seu objetivo social ou estatutário
a pesquisa básica ou aplicada de
caráter histórico, científico, tec-
nológico ou estatístico;
19) Autoridade nacional: órgão
da administração pública respon-
sável por zelar, implementar e fis-
calizar o cumprimento desta lei.
ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
13. 13LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
B.
PRIVACIDADE DOS
DADOS PESSOAIS
Como é sabido, a informação tornou-se um dos bens de maior valia. As-
sim, no nosso dia a dia usamos, absorvemos, produzimos e transmiti-
mos informação o tempo todo. Desta maneira, um dos grandes desafios
atuais é assegurar a proteção devida para estes dados e, consequente-
mente, a privacidade.
1. O regime jurídico
brasileiro de privacidade
A privacidade é protegida por
diversas fontes, dentre as quais
destacamos a Constituição Fede-
ral (CF) (artigo 5º, incisos X e XII),
o Código de Defesa do Consumi-
dor (CDC) (artigo 43) e o Marco
Civil da Internet (MCI) (artigo 3,
inciso II e III).
Desta maneira, a privacidade do
indivíduo e, por consequência, as
informações do titular dos dados
pessoais, é considerada um direi-
to fundamental.
2. A privacidade dos
dados pessoais na LGPD
Como não poderia ser diferente,
a LGPD prevê que toda a pessoa
natural tem assegurada a titula-
ridade de seus dados pessoais e
garantidos os direitos fundamen-
tais de liberdade, de intimidade e
de privacidade.
Ela aplica-se independentemen-
te do meio e/ou forma de trata-
mento dos dados coletados ou
recebidos, isso significa que todo
aquele que faz uso do dado se im-
põe às regras da LGPD.
14. 14 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
Assim, para que haja o cumpri-
mento das obrigações e procedi-
mentos enumerados na lei, o con-
ceito de privacidade dos dados
pessoais deverá sempre permear
qualquer tratamento de dados
realizados pelos controladores e
operadores.
Um exemplo que demonstra a ne-
cessidade de respeito à privacida-
de, consiste na possibilidade de o
titular dos dados possuir direito
ao acesso facilitado às informa-
ções sobre o tratamento de seus
dados, de forma a especificar a
finalidade do tratamento e in-
formar quais dados estão sendo
compartilhados e a sua finalidade.
Para que o princípio da privaci-
dade dos dados pessoais seja, de
fato, implementado e observado,
a LGPD informa que os contro-
ladores e os operadores poderão
formular regras de boas práticas
e de governança que estabeleçam
as condições de organização e
procedimentos no tratamento de
dados pessoais.
Dentre os pontos listados, res-
salta-se que, o controlador pode-
rá implementar o programa de
governança em privacidade que,
no mínimo:
Seja adaptado à estrutu-
ra, à escala e ao volume de
suas operações, bem como
a sensibilidade dos dados
tratados;
Forneça a gestão de con-
sentimento e finalidades
na utilização de dados
pessoais;
Forneça a gestão dos fluxos
de dados pessoais, desde a
coleta até seu descarte;
Estabeleça políticas e sal-
vaguardas adequadas com
base em processo de avalia-
ção sistemática de impac-
tos e riscos à privacidade;
Seja integrado a sua estru-
tura geral de governança e
estabeleça e aplique me-
canismos de supervisão
internos e externos.
Preveja fluxos internos de
15. 15LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
certificação de privacida-
de quando da criação de
projetos, fluxos, serviços
ou produtos que envol-
vam dados pessoais (pri-
vacy by design).
Em que pese a LGPD não dis-
por acerca da obrigatorieda-
de do controlador possuir um
Manual de Boas Práticas e de
Governança, recomenda-se que
os hospitais implementem tais
medidas, pois a Autoridade
Nacional de Proteção de Da-
dos (ANPD) poderá solicitar
a efetividade de seu programa
de governança em privacidade,
com o intuito de comprovar o
cumprimento da lei.
16. 16 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
C.
SEGURANÇA
DA INFORMAÇÃO
1. Conceitos fundamentais
Segurança da informação é a
prática que visa garantir a confi-
dencialidade, integridade e dispo-
nibilidade de dados aos interes-
sados pelo gestor de um banco
de dados, por meio de métodos
que assegurem a manutenção
de tais características dos dados
que são objeto de tratamento e
acesso. Em detalhes, tais carac-
terísticas são:
Confidencialidade: restri-
ção de acesso a dados ex-
clusivamente aos usuários
legítimos, protegendo-os
do acesso por estranhos;
Integridade: manuten-
ção dos dados na mesma
condição à qual eles fo-
ram disponibilizados por
seu titular;
Disponibilidade: garan-
tia de que os dados con-
cedidos pelo titular e os
dados gerados a partir
destes estarão disponí-
veis mediante solicitação
do titular ou de seu res-
ponsável.
17. 17LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
A segurança da informação é o
elemento chave da governança
de dados, devendo ser operada
por meio de práticas e ativida-
des, tais como a elaboração de
processos internos e externos,
treinamentos e estabelecimento
de Políticas de Segurança da In-
formação (PSI).
Por meio desses esforços, a se-
gurança da informação irá prote-
ger todos os ativos de informa-
ção da empresa: dados, pessoas,
softwares, equipamentos físicos,
entre outros.
2. Passos para a imple-
mentação de segurança da
informação
Neste tópico, descreveremos de
forma objetiva e geral os passos
para a efetivação das práticas de
Segurança da
informação
Confidencialidade
Integridade
Disponibilidade
Softwares EquipamentosFuncionários Clientes
Propriedade Intelectual Bancos de dados
18. 18 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
segurança da informação. Reco-
mendamos que cada instituição
adote as ferramentas e, se ne-
cessário, contrate prestadores
de serviços especializados, que
indicarão quais são os melhores
métodos à cada empresa.
Classificação
das Informações
O primeiro passo para dar início
às práticas de segurança da in-
formação é a classificação das in-
formações detidas pela empresa.
Dessa forma, será possível com-
preender quais medidas serão
aplicáveis e os esforços necessá-
rios para garantir a confidenciali-
dade, integridade e disponibilida-
de dos dados e informações sob
custódia.
Além dos pilares da segurança
da informação descritos acima,
insere-se neste ponto um quar-
to elemento, a ser levado em
consideração: o valor atribuído
à informação. Seja diretamente
de seu proveito econômico, seja
indiretamente, em decorrência
dos prejuízos a serem arcados
em caso de vazamento ou perda,
o valor da informação será fator
indispensável para aplicação re-
levante de uma efetiva PSI.
Neste sentido, é indispensável co-
nhecer quais ameaças seriam apli-
cáveis à informação objeto de pro-
teção. Seguem alguns exemplos:
Os concorrentes têm inte-
resse nesses dados?
Há risco reputacional ele-
vado em caso de perda ou
vazamento?
Há risco de pagamento de
indenizações em caso de
perda ou vazamento?
Há determinação legal ou
regulamentar de sigilo e/
ou segurança de tais dados
ou informações?
Esclarecidos esses pontos, cada
instituição poderá atribuir uma
forma de classificação de tais
informações que lhe seja mais
apropriada. Abaixo propomos
a seguinte classificação como
sugestão:
19. 19LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
NÍVEL EXEMPLOS
PÚBLICO
Catálogos de cursos, formulários
de candidatura e de solicitação,
entre outras informações que,
em geral, são abertamente com-
partilhadas. Informações que
são divulgadas no site institucio-
nal são bons exemplos de dados
públicos.
INTERNO
Memorandos, correspondências
e atas de reuniões, listas de con-
tatos que contêm informações
que não estão disponíveis publi-
camente e documentação pro-
cessual que deve permanecer na
esfera interna.
CONFIDENCIAL
Demonstrações financeiras, pron-
tuário do paciente, estatísticas e
indicadores.
RESTRITO
Dados de acesso limitado a pro-
fissionais da saúde, dados finan-
ceiros não objeto de divulgação
pública, atas de assembleias ou
reuniões de sócios não registradas
na junta comercial, entre outros.
DESCRIÇÃO
Dados públicos são informações
que podem ser divulgadas a qual-
quer pessoa, independentemente
da sua relação com a instituição.
A classificação pública não se li-
mita aos dados que sejam de in-
teresse público ou destinados ao
público, a classificação é aplicável
para dados que não necessitam
de proteção contra a divulgação.
Esta informação é aquela que
a instituição não tem interesse
em divulgar e o acesso por par-
te de indivíduos externos deve
ser evitado. Entretanto, caso a
informação seja disponibilizada
por alguma razão, não causará
danos sérios à instituição.
Informação interna da institui-
ção cuja divulgação pode causar
danos financeiros ou à imagem
da organização. Essa divulgação
pode gerar vantagens a eventuais
concorrentes e perda de clientes.
Derivação da informação confi-
dencial, cuja restrição de acesso
possui maior grau interno.
20. 20 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
Implementação de
ferramentas e políticas
Uma vez estabelecida a ordem de
classificação das informações e
dados objeto de tratamento na
instituição, será necessário im-
plementar e executar ações que
visem a adoção de uma cultu-
ra de segurança da informação.
Exemplificamos abaixo algumas
sugestões:
Adoção de medidas de se-
gurança apropriadas ao
acesso de dados de acordo
com a sua classificação,
como a utilização de se-
nhas, confirmação por du-
plo fator, adoção de tokens,
entre outros;
Análise interna do banco
de dados, a fim de verificar
os processos de tratamen-
to e os riscos envolvidos;
Adoção de medidas tec-
nológicas internas que ga-
rantam a segurança das
informações, tais como a
eliminação de dados des-
necessários, anonimização
e psdeudonimização de da-
dos, criptografia, etc;
Elaboração de uma Política
de Segurança da Informa-
ção, com orientações obje-
tivas de métodos e proces-
sos para o tratamento de
dados e medidas de segu-
rança apropriadas;
Realização de treinamentos
e divulgação de materiais
de conscientização para
funcionários e clientes.
3. O incidente de segurança
da informação
Segundo o ISO/IEC 27035-
1/2016, em livre tradução, um
Evento de Segurança da Informa-
ção pode ser considerado como
uma ocorrência indicando uma
possível violação de segurança da
informação ou falha de controles.
Já o Incidente de Segurança da
Informação, por sua vez, são um
ou vários Eventos de Segurança
21. 21LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
da informação, com potencial de
causar dano aos ativos de uma
organização ou comprometer
suas operações[1].
Diante dos diuturnos avanços
tecnológicos, da difusão da utili-
zação de bases de dados por out-
sourcing e do crescimento cons-
tante do interesse financeiro por
dados, vemos que a ocorrência de
Incidentes de Segurança da Infor-
mação vem crescendo exponen-
cialmente. Somente no Brasil, em
2018, foram detectados 120,7
milhões de links maliciosos[2], ao
passo que a pesquisa do mesmo
ano “Global State of Information
Security“, realizada em 122 paí-
ses, revelou que 54% das empre-
sas não possuem um processo de
resposta a incidentes[3].
As causas de um Incidente de
Segurança da Informação são as
mais variadas, podendo ser delibe-
radas (como ataques ao banco de
dados ou utilização de engenharia
social), ou acidentais (decorrentes
de erros humanos ou causas natu-
rais). Dentre as consequências es-
tão o acesso não autorizado às in-
formações, a implicação de danos
à base de dados ou até mesmo a
perda desses dados.
Especificamente no que se refere
a dados pessoais, é indispensável
destacar que a LGPD reputa que
o controlador dos dados é res-
ponsável direto e objetivo por tais
incidentes que causem danos a ti-
tulares de dados pessoais, inclusi-
ve de natureza coletiva, além das
multas e sanções descritas na lei,
como o bloqueio temporário dos
dados objeto de tratamento e até
mesmo o pagamento de multa no
valor de até 2% do faturamento
da pessoa jurídica ou grupo eco-
nômico.
Ainda nos termos do ISO/IEC
27035-1/2016, os objetivos de um
plano de abordagem do incidente
de informação precisam conter:
A detecção rápida do inci-
dente, com imediata clas-
sificação dos riscos rela-
cionados;
Resposta apropriada e efi-
ciente ao incidente;
22. 22 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
23. 23LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
Aplicação de controles que
possam minimizar os efei-
tos adversos;
O estabelecimento de elos
com os processos de admi-
nistração de crises já ado-
tados pela empresa;
Aprendizagem rápida das
falhas exploradas no inci-
dente, com correção de vul-
nerabilidades.
Destacamos que, além dos pon-
tos descritos acima, a partir da
vigência da LGPD, em caso de in-
cidente que envolva o tratamento
de dados pessoais, o controlador
deverá ainda decidir, de acordo
com a classificação de risco, se
será realizada a comunicação à
Autoridade Nacional de Proteção
de Dados. Isso porque, segundo
a lei, deve ser comunicado o inci-
dente “que possa acarretar risco
ou dano relevante aos titulares”.
Por esta razão, é indispensável
que as instituições se preparem,
tanto criando ferramentas asser-
tivas de segurança da informação,
como desenvolvendo respostas
eficientes aos incidentes.
Adotadas as devidas ferramen-
tas e políticas, não somente a
instituição poderá operar o tra-
tamento de dados com seguran-
ça, mas também terá seus riscos
minimizados em caso da ocor-
rência de incidente.
[1] ISO/IEC 27035-1/2016, 4, 4.1: “An information security event is an occurrence indicating a pos-
sible breach os information security or failure of controls. An information security incident is one or
multiple related and identified information security events that meet established criteria and can
harm an organization’s assets or compromise its operations.”
[2] Relatório da Segurança Digital no Brasil: Disponível em https://www.psafe.com/dfndr-lab/wp-
-content/uploads/2018/08/dfndr-lab-Relat%C3%B3rio-da-Seguran%C3%A7a-Digital-no-Bra-
sil-2%C2%BA-trimestre-de-2018.pdf
[3] Fortalecendo a Sociedade Digital contra o caos cibernético. Disponível em https://www.pwc.com.
br/pt/publicacoes/assets/2017/fortalecimento_sociedade_digital_17_gsiss.pdf
24. 24 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
II
PROTEÇÃO
DE DADOS
EM SAÚDE
25. 25LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
A.
ARCABOUÇO
NORMATIVO DA
PROTEÇÃO DE DADOS
EM SAÚDE NO BRASIL
Conforme a Constituição Federal de 1988:
“...são invioláveis a intimidade, a vida privada, a honra e a imagem das
pessoas, assegurado o direito à indenização pelo dano material ou
moral decorrente de sua violação” (Constituição Federal de 1988, art.
5º, inciso X).
Considerando-se que o direito à privacidade já é um item assegurado
em nossa Constituição, a questão da proteção de dados em saúde vem
sendo discutida com bastante ênfase pelo setor. Há uma crescente
utilização dos recursos da Tecnologia da Informação e Comunicação
dentro da saúde, onde dados transitam em grande volume e nem sem-
pre de forma ordenada - sendo usados em recursos como prontuário
eletrônico do paciente (PEP), telemedicina, troca de informações en-
tre instituições, troca de informações entre a área assistencial, etc.
Com isso, surge a real necessidade de padronização e regulamenta-
ção do assunto para a correta utilização de tais dados, que devem ter
como principal objetivo a assistência adequada ao indivíduo, uma vez
que o uso inadequado da informação pode trazer problemas e causar
dano direto ou indireto ao indivíduo (por exemplo: discriminação, pre-
conceito ou utilização de recursos para benefícios próprios).
26. 26 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
O e-Health (Electronic Health), como é determinado pela Organização
Mundial da Saúde (OMS), é a utilização da Tecnologia da Informação e
Comunicação em saúde, utilizada para a assistência ao paciente, pes-
quisa, educação e capacitação das pessoas da área, monitoração do
paciente e avaliação. No entanto, normatizar essa quantidade de in-
formações geradas sobre os pacientes é um enorme desafio, com alto
nível de complexidade.
No Brasil, algumas ações vêm sendo tomadas para padronizar este
tipo de informação. No caso da saúde privada, a Agência Nacional de
Saúde Suplementar (ANS) padronizou as informações de saúde entre
prestadores de serviço, operadoras e governo através do TISS (Troca de
Informações da Saúde Suplementar).
Existem vários esforços para que haja padronização e normas claras
para a proteção de dados em saúde. A Lei do Marco Civil da Internet -
Lei 12.965 de abril/2014 - já é um princípio para proteção de dados da
informação, porém muito vinculada apenas ao uso da internet.
Em 2016, a Política Nacional de Informação em Saúde (PNIS) estabe-
leceu alguns princípios com o objetivo de garantir a confidencialidade,
o sigilo e a privacidade da informação de saúde pessoal como direito
do indivíduo.
Tais legislações foram complementadas com a Lei 13.709/2018 - Lei
Geral de Proteção de Dados, que é voltada para a proteção de dados
do indivíduo e, consequentemente, complementando a proteção de
dados e informações na área da saúde.
A LGPD traz em seu texto a questão de tratamento de dados e a forma
pelas quais os dados poderão ser utilizados, como nos trechos abaixo:
“… para a tutela da saúde, exclusivamente, em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária;” (LGPD
13709/2018, Art 7º, inciso VIII)
“...É vedada a comunicação ou o uso compartilhado entre controladores
de dados pessoais sensíveis referentes à saúde com objetivo de obter van-
27. 27LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
tagem econômica, exceto nas hipóteses relativas à prestação de serviços
de saúde, de assistência farmacêutica e de assistência à saúde, desde que
observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose
e terapia, em benefício dos interesses dos titulares de dados, e para permi-
tir:” (LGPD 13709/2018, Capítulo II, Seção II, Art. 11, parágrafo 4).
Os esforços para se atender à nova legislação são enormes, uma vez
que há muitas dúvidas e o tempo é escasso.
B.
HIPÓTESES
DE TRATAMENTO
As hipóteses de tratamento dos dados de acordo com a LGPD são:
Consentimento do titular, para uso das informações;
Cumprimento das obrigações legais ou regulatórias pelo
controlador;
Uso da administração pública, para o tratamento e uso com-
partilhado de dados necessários para cumprimento de políticas
públicas;
28. 28 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
Órgão de pesquisa clínica, assegurando a anonimização;
Execução de contrato;
Exercício regular de direitos em processo (judicial, administrati-
vo ou arbitral);
Proteção da vida e segurança física do titular ou de terceiros;
Tutela da saúde exclusivamente em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária;
Atendimento ao legítimo interesse do controlador ou de tercei-
ros (exceto quando os direitos e liberdades fundamentais do ti-
tular exijam a proteção dos dados pessoais); ou
Proteção do crédito.
Em qualquer um dos casos, o tratamento de dados pessoais nas ocasi-
ões em que o acesso é público, deve considerar a finalidade, a boa-fé e
o interesse público que justificarem sua disponibilização.
Material de consulta
https://www.scielosp.org/pdf/csp/2018.v34n7/e00039417
https://nupef.org.br/sites/default/files/downloads/artigo%20politics_esaude%20e%20priva-
cidade.pdf
LGPD na Saúde - O que as empresas precisam saber - Machado Nunes
29. 29LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
C.
COMUNICAÇÃO E
COMPARTILHAMENTO
DE DADOS EM SAÚDE
PARA PRESTAÇÃO DE
ASSISTÊNCIA
O tratamento de dados pessoais sensíveis somente poderá ocorrer:
Com consentimento que evidencie uma manifestação livre, in-
formada e inequívoca, e destacado para finalidades específicas
do titular ou seu responsável legal;
Sem o consentimento do titular quando for indispensável e es-
tiver dentro das hipóteses taxativamente previstas no art. 11:
“tutela da saúde exclusivamente, em procedimento realizado por
profissionais de saúde, serviços de saúde ou autoridade sanitária”.
Uma alteração trazida pela Lei 13.853 de 2019 é a inclusão do §5º:
“É vedado às operadoras de planos privados de assistência à saúde,
o tratamento de dados de saúde para prática de seleção de riscos na
contratação de qualquer modalidade, assim como na contratação e
exclusão de beneficiários.”
30. 30 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
31. 31LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
D.
NOTIFICAÇÃO
COMPULSÓRIA
O controlador deve comunicar à autoridade competente e ao titular,
em prazo razoável a ser definido pela autoridade competente, a ocor-
rência de incidente de segurança que possa acarretar risco ou dano
relevante aos titulares (art. 48).
Essa comunicação deverá conter:
A descrição da natureza dos dados pessoais afetados;
Os titulares envolvidos;
As medidas técnicas e de segurança utilizadas para a proteção
dos dados;
Os riscos relacionados ao incidente;
Os motivos da demora, no caso da comunicação não ter sido
imediata;
As medidas adotadas para corrigir ou mitigar os efeitos do pre-
juízo causado ao titular pelo incidente.
32. 32 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
III
AGENTES DE
TRATAMENTO
33. 33LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
A.
DEFINIÇÃO
Agentes de tratamento são todos os indivíduos que controlam
ou tratam informações que contenham dados pessoais. A Lei nº
13.709/2018 elenca expressamente, no art. 5º, IX, que os agentes de
tratamento são o controlador e o operador.
O controlador, na definição legal (art. 5º, VI) é “pessoa natural ou jurídi-
ca, de direito público ou privado, a quem competem as decisões referentes
ao tratamento de dados pessoais”. Já o operador (art. 5º, VII) é “pessoa
natural ou jurídica, de direito público ou privado, que realiza o tratamento
de dados pessoais em nome do controlador”.
Os agentes de tratamento de dados neste contexto serão os hospitais,
por meio de seus colaboradores, médicos e parceiros (terceiros) que
tratam os dados dos pacientes/clientes, em virtude do relacionamen-
to de prestação de serviços de saúde específicos de cada instituição.
Um hospital pode ser controlador e operador dos dados ao mesmo
tempo, diante de uma atividade (processo) que trate os dados pes-
soais dos titulares. Outro cenário é quando um hospital terceiriza a
operação dos dados, como um laboratório de análises clínicas, diag-
nóstico por imagem, call center para SAC , por exemplo, caso em que
o hospital seria controlador de dados.
Um fluxo comum a considerar será: por força de uma relação estabe-
lecida entre um titular e um controlador de dados que conta com ser-
viços prestados por um operador, o titular dos dados fornece os dados
para um operador ou, um operador coleta os dados de um titular sob
seu consentimento. O operador deve atender as determinações de tra-
tamento de dados definidas pelo controlador de dados. O controlador
34. 34 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
de dados deve estar em conformidade com as definições da LGPD.
Cabe ao controlador de dados nomear um encarregado (DPO) para
atuar como canal de comunicação para atender as necessidades dos
titulares junto ao controlador e à ANPD.
Fonte: Amaro Neto.
Figura 1 | Agentes: fluxo de relacionamento
Titular
DPO
encarregado Controlador
Operador
ANPD
Agentes de
tratamento
de dados
Dados pessoais
Agentes
Autoridade
Nacional
de Proteção
de Dados
35. 35LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
Dentro da estrutura organizacional de uma instituição existe mais de
uma pessoa ou setor que pode ser qualificado como controlador e ope-
rador, de modo que é necessário o adequado mapeamento destes, a
fim de fazer com que a implementação das regras editadas pela LGPD
se dê de maneira ampla e completa.
Fonte: Amaro Neto.
Figura 2 | Agentes de tratamento de dados: exemplos de controlador e operador
Cenário A
Laboratório
Call
Center
Diagnóstico
por
imagem
Hospital
HospitalHospital
Cenário B
Agentes de tratamento de dados
Dados pessoais
Controlador Controlador
Operador (terceiros) Operador
Dados pessoais
36. 36 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
B.
OBRIGAÇÕES E
RESPONSABILIDADES
A principal obrigação que a LGPD dispõe aos agentes de tratamento
(art. 37) é a de que mantenham um registro das operações de tra-
tamento que realizarem, especialmente quando este tratamento de
dados se der fundado em legítimo interesse, previsto no art. 10.
O controlador tem a específica atribuição de indicar o encarregado
pelo tratamento de dados pessoais (art. 41). Por sua vez, cabe ao ope-
rador realizar o tratamento de dados “segundo as instruções fornecidas
pelo controlador, que verificará a observância das próprias instruções e
das normas sobre a matéria” (art. 39).
Importante garantir que as instruções do controlador ao operador
sejam claras e, preferencialmente, formais, para que não haja ambi-
guidade e/ou falha no processo de tratamento de dados. Para tanto,
possuem papéis importantes as áreas:
Jurídica:
Responsável por manter os
termos contratuais de con-
sentimento atualizados e em
aderênciacomalegislação;
ApoiarainstituiçãoeoDPO
durante processos legais;
Apoiar na demonstração
dos controles existentes
para mitigação dos pontos
da legislação em caso de
abordagem.
37. 37LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
Assistencial e corpo clínico:
Não emprestar creden-
ciais;
Não salvar informações
localmente ou em meios
que não sejam controla-
dos pela instituição;
Não compartilhar infor-
mações confidenciais por
aplicativos de mensagens
instantâneas, redes sociais,
e-mail particular ou qual-
quer outro que não exista
controle da instituição;
Aderir às políticas de pri-
vacidade e tomar todas
as cautelas necessárias
no manuseio de dados
sensíveis;
Não conversar em locais
públicos mencionando da-
dos sensíveis de pacientes.
Recursos Humanos:
Deve desenvolver medidas
disciplinares para colabo-
radores que descumpram
as políticas da instituição;
Deve conter uma política
formal e divulgada para
os colaboradores sobre as
medidas disciplinares.
Auditoria Interna e Risco:
Definir metodologia de au-
ditoria interna para garan-
tir que os processos estão
sendo seguidos;
Reportar os resultados das
auditorias periodicamente
para o DPO e alta direção;
Desenvolver relatórios de
risco e reportá-los para o
DPO e alta direção.
38. 38 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
Tecnologia da Informação e
Segurança da Informação:
Desenvolvimento de meios
seguros de armazenamen-
to, processamento e trans-
missão para proteção de
dados pessoais;
Desenvolvimento e di-
vulgação das Políticas de
Segurança da Informação,
incluindo Política de Clas-
sificação da Informação;
Levantamento e docu-
mentação das interfaces
de troca de informações
com dados sensíveis (ar-
quiteto de dados);
Segregação de perfis de
acesso a dados pessoais e
gestão de acessos;
Proteção contra vaza-
mento de informação,
bloqueio de pendrive e
DLP Endpoint para as es-
tações de trabalho;
Cybersecurity (Monitora-
ção, alerta, segregação de
ambientes);
Definição de tecnologias
para gestão dos termos
de consentimento de pa-
cientes e colaboradores
para uso dos dados (mé-
todo de armazenamento,
pesquisa, tratamento dos
casos de não consenti-
mento, revogação/mu-
dança do consentimento,
exclusão de dados);
Definição de tecnologias
para processo de trans-
ferência segura de dados
sensíveis (operadoras na-
cionais e internacionais);
Anonimização e pseudo-
nomização em banco de
dados;
Continuidade de negócios
(possibilidade de multa
em caso de perda de in-
formação do paciente);
39. 39LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
Conscientização de cola-
boradores e prestadores
de serviço;
Processo de desenvol-
vimento seguro que
envolva testes durante
todo o ciclo.
Gestão de fornecedores/con-
tratos:
Aplicar os termos desen-
volvidos pelo jurídico para
novos contratos e criar
aditivos para os contratos
já existentes;
Auditoria periódica nas ope-
radoras e prestadores de
serviço onde exista a trans-
ferência de informações que
contenham dados pessoais.
Serviços de apoio médico:
Manter a salvaguarda de
informações que conte-
nham dados pessoais e
sensíveis;
Coletar consentimento
de médicos, assistência
e pacientes sempre que
necessário.
Em seu artigo 18, a LGPD, ainda que em linhas gerais a merecer melhor
regulamentação pela ANPD, detalha obrigações do controlador peran-
te o titular de dados pessoais objeto de tratamento:
Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários,
40. 40 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
excessivos ou tratados em desconformidade com o disposto na lei;
Portabilidade dos dados a outro fornecedor de serviço ou produ-
to, mediante requisição expressa e observados os segredos co-
mercial e industrial, de acordo com a regulamentação do órgão
controlador;
Eliminação dos dados pessoais tratados com o consentimento
do titular, exceto nas hipóteses previstas no art. 16 da lei;
Informação das entidades públicas e privadas com as quais o
controlador realizou uso compartilhado de dados;
Informação sobre a possibilidade de não fornecer consentimen-
to e sobre as consequências da negativa;
Revogação do consentimento, nos termos do parágrafo 5º do
art. 8º da lei.
41. 41LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
C.
DATA PROTECTION
OFFICER (DPO)
O DPO (Data Protection Officer) surgiu com a consolidação da GDPR
na União Europeia, como um cargo de nível estratégico, que é respon-
sável por disseminar a cultura de proteção de dados na instituição,
criar normas e procedimentos que atendam às legislações de proteção
de dados vigentes, sendo um canal de comunicação entre instituição,
titular das informações e entidades governamentais que controlam e
regulam a proteção de dados individuais. Na prática, o DPO agrega
funções de uma Security Officer ou de um CISO (Chief Information Se-
curity Officer).
Trata-se de uma função multidisciplinar, pois o profissional deve ter
conhecimento de como a instituição atua com os dados coletados e
sua forma de tratamento. Além disso, precisa ter sinergia ou conhe-
cimento em tecnologia e segurança da informação, aspectos legais,
compliance, gestão de riscos, comunicação fluida e clara e ter bom
relacionamento, já que será um influenciador dentro da instituição.
Uma de suas principais funções será receber as notificações dos titula-
res das informações e/ou da entidade fiscalizadora, sendo responsável
por sua apuração, tratativa adequada e resposta ao titular e à ANPD.
Deverá ter autonomia para auditar e fiscalizar as possíveis irregulari-
dades para que possam ser corrigidas e notificadas conforme rege a lei.
Figura idêntica existe na diretriz europeia. O Data Protection Officer
(DPO) será a pessoa (natural ou jurídica), que atuará “como canal de
comunicação entre o controlador, os titulares dos dados e a Autoridade
42. 42 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
Nacional de Proteção de Dados (ANPD)” (art. 5º, VIII), será o responsá-
vel por disseminar a cultura de proteção de dados na instituição, além
de criar normas e procedimentos adequados à lei. Será o responsável
por receber as notificações da ANPD e dos titulares das informações
e as colocará em prática.
O DPO deverá ter sua identidade e informações de contato divulgadas
publicamente de forma clara e objetiva, preferencialmente no site do
controlador (art. 41, §1º). A LGPD lista as atividades do DPO no art.
41, §2º, sendo de mais destaque as seguintes:
Garantir a efetividade dos controles relacionados à proteção de
dados pessoais sob custódia da organização;
Coordenar a conformidade do processo com os outros agentes
de tratamento;
Relacionar-se com entidades de autoridade;
Em caso de incidente, analisar se aquilo deve ser reportado ou não;
ODPOseráacionadolegalmenteemcasodeincidentesmaisgraves.
43. 43LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
D.
RELATÓRIO
DE IMPACTO
Segundo a LGPD (art. 5º, XVII), o relatório de impacto à proteção de
dados é a “documentação do controlador que contém a descrição dos
processos de tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como medidas, salva-
guardas e mecanismos de mitigação de risco.”
O referido relatório poderá ser solicitado ao controlador pela ANPD
(art. 38), e deverá conter, no mínimo, “a descrição dos tipos de dados co-
letados, a metodologia utilizada para a coleta e para a garantia da segu-
rança das informações e a análise do controlador com relação a medidas,
salvaguardas e mecanismos de mitigação de risco adotados.”
Caso ocorra algum incidente de segurança que possa implicar em ris-
co ou em dano aos titulares de dados pessoais, caberá ao controlador
comunicar à ANPD e ao titular de dados pessoais tal ocorrência (art.
48). Esta comunicação deverá ocorrer em prazo razoável (que será ob-
jeto de regulamentação pela ANPD - §1º).
44. 44 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
IV
OPORTUNIDADES
E DESAFIOS
PARA O SETOR
45. 45LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
No Brasil, a ISO/IEC 27000 é um conjunto de padrões que fornece
uma estrutura de gerenciamento de segurança da informação, utiliza-
da como forma de normalizar grande parte das ações e investimentos
realizados pelas instituições em segurança.
As práticas de segurança da informação estão intimamente ligadas à
quantidade de recursos que as instituições destinam para este fim todos
os anos, e cada um tem seu próprio modelo de segurança implantado.
O fato de termos diferentes produtos e modelos de segurança implanta-
dos nas instituições não é um problema, visto que diferentes ameaças
são lançadas no mercado a cada dia, explorando diferentes vulnerabili-
dades e gerando como consequência uma vasta gama de subprodutos
para prover o controle. Entretanto, a falta de um padrão dificulta a deci-
são de qual tecnologia adotar e quanto de recurso destinar.
Este capítulo abordará práticas de segurança considerando o concei-
to de defesa em camadas e avaliando os modelos mais consolidados.
Tais práticas, se aplicadas, além de promoverem segurança para os
hospitais, também ajudarão a mitigar os impactos gerados pelas san-
ções judiciais previstas pela nova lei.
Por fim, é importante considerar que estar de acordo (compliance)
com a LGPD não é o mesmo que estar seguro. Mas também é verda-
deiro que se adaptar às rotinas e políticas nas instituições, conforme
previsto na lei, consequentemente aumentará o nível de segurança.
46. 46 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
A.
NORMAS
DE SEGURANÇA
O conceito de segurança da informação está padronizado na ISO/IEC
17799, que também traz o conceito de informação, assim como seguem:
A construção dos procedimentos de segurança da informação deve con-
duzir a gestão das informações, a construção dos ambientes de TI e as
ações de usuários a culminarem na garantia da manutenção das suas
quatro características básicas, que são:
Confidencialidade: limita o acesso à informação tão somente às
pessoas e/ou entidades autorizadas pelo proprietário da informa-
Informação: é um ativo
que, como qualquer ativo
importante, é essencial
para os negócios de uma
organização e conse-
quentemente necessita
ser adequadamente pro-
tegido.
Segurança da informa-
ção: é obtida a partir da
implementação de um
conjunto de controles ade-
quados, incluindo políticas,
processos, procedimentos,
estruturas organizacionais
e funções de software e
hardware. Tais controles
devem permanecer inse-
ridos em um ciclo de me-
lhoria contínua da organi-
zação, como a garantia de
sua atualização e funcio-
namento adequado.
47. 47LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
ção ou quem tenha a reserva legal de preservá-la;
Integridade: garante que a informação, mesmo que alterada,
mantenha todas as características originais estabelecidas pelo
proprietário da informação, incluindo controle de mudanças e ga-
rantia do seu ciclo de vida (nascimento, manutenção, alteração e
destruição);
Disponibilidade: garante que a informação esteja sempre dispo-
nível para uso dos usuários autorizados pelo proprietário da in-
formação;
Irretratabilidade: garante a impossibilidade de negar a autoria em
relação a uma transação anteriormente realizada, permitindo a
rastreabilidade no manejo da informação com os registros que
demonstrem a fidedignidade do processo de guarda e autoria.
Quando estes procedimentos são aplicados às informações sensíveis de
saúde, combinados com atributos de auditoria e controles de acesso,
há a prevenção de erros clínicos e a manutenção da continuidade dos
serviços.
Para normalizar os requisitos de um Sistema de Gestão da Segurança
da Informação (SGSI), a ISO/IEC 27001 é utilizada no Brasil com o prin-
cipal objetivo de estabelecer, implementar, operar, monitorar, realizar
análise crítica, manter e melhorar o seu SGSI.
Observada a relevância das normas de segurança da informação frente
ao estudo proposto neste material, a figura abaixo relaciona os capítu-
los da LGPD que mencionam segurança com seu respectivo capítulo
normatizado na ISO 27001, facilitando, assim, a localização e interpre-
tação do conteúdo.
48. 48 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
Fonte: Amaro Neto.
A.5 - Políticas de
segurança da informação
A.8 - Gestão de Ativos
A.9 - Controle de Acesso
A.10 - Criptografia
A.12 - Segurança
nas operações
A.13 - Segurança nas
comunicações
A.18 - Conformidade
A.14 - Aquisição, manu-
tenção e desenvolvimento
de sistema
A.17 - Aspectos da segurança
da informação na gestão da
continuidade do negócio
1
4
7
2
5
8
3
6
9
Capítulo 07 - Seção 02
Capítulo 07 - Seção 02
Capítulo 07 - Seção 02
Capítulo 06 - Seção 01
Capítulo 06 - Seção 01
Capítulo 07 - Seção 01 e 02
Capítulo 07 - Seção 01
Capítulo 02 - Seção 02
Capítulo 07 - Seção 01
Capítulo 01 - Disposições Preliminares (VII)
Capítulo 07 - Seção 01
ISO27001
LGPD
49. 49LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
B.
PADRÕES TÉCNICOS
No tempo em que as instituições utilizavam documentos físicos, os
padrões de segurança previam que estes fossem armazenados em lo-
cal que pudesse ter a porta trancada.
No cenário de saúde, os hospitais precisam manter os prontuários fí-
sicos por, no mínimo, vinte anos para algumas patologias e, em outras
situações, este prazo pode ser ainda maior. Portanto, a digitalização
desses documentos facilita seu armazenamento e gestão, ao passo
que gera novas demandas para a TI, que deve armazená-los garantin-
do disponibilidade e segurança.
Com a evolução destes documentos para os meios digitais, a ação de
manter a segurança foi elevada para níveis complexos, exigindo am-
bientes sofisticados, com alto custo e necessidade de atualizações
constantes.
A construção de políticas, normas e procedimentos, a adoção das me-
lhores práticas de segurança, o monitoramento e a auditoria destas
ações, representam que a proteção deve ser elaborada visando mitigar
riscos causados por pessoas, ambiente ou sistemas e equipamentos.
No atual cenário virtual, as ameaças chegam aos ambientes de forma
silenciosa e invisível, explorando não apenas as vulnerabilidades de
hardware e software, mas também as vulnerabilidades das pessoas,
exigindo a construção de defesas em todas as camadas envolvidas nos
ambientes de TI das empresas.
As instituições possuem suas próprias políticas de segurança da in-
formação e todos os seus usuários devem conhecer e praticar as di-
retrizes ali definidas. Geralmente, as organizações também possuem
50. 50 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
Física
Políticas,
Procedimentos e Conscientização
um processo de detecção e classificação de risco próprio, levando em
consideração o valor do seu ativo e a probabilidade do risco. Desta
forma concentram seus esforços e investimentos em segurança da in-
formação.
Nesta seção serão abordados os padrões técnicos de segurança da
informação necessários para garantir a continuidade de negócios das
instituições, considerando os dados como o ativo principal, ou seja, os
dados no centro do ambiente de TI.
Dados
Aplicação
Servidores
Rede Interna
Perímetro
51. 51LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
Para cada camada existe uma variedade de medidas tecnológicas que
podem ser implementadas, como forma de prover segurança de suas
informações. A seguir, serão utilizados alguns exemplos, dentre muitas
possibilidades, para ilustrar cada camada, lembrando sempre que não
existe uma receita pronta e que a combinação de soluções/equipamen-
tos resulta em diferentes níveis de segurança, que estarão ligados à
quantia de esforço, técnica e investimentos disponíveis para este fim.
1. Aplicações
Prover segurança exige observar
qual linguagem será utilizada, a
metodologia de desenvolvimento
que deve prover a adequada se-
gurança desde sua escrita, assim
como, a utilização de protocolos
e servidores web seguros em caso
de aplicações desenvolvidas para
este meio.
Os sistemas devem prever o ar-
mazenamento de logs e possuir
auditorias ativas, possibilitando a
rastreabilidade e identificação das
ações tomadas pelos usuários.
Deve também prover perfis de
acesso conforme suas atribuições
e um gerenciamento de conces-
sões/revogações de direitos.
Cuidar da segurança do sistema,
não significa dizer que está se cui-
dando da segurança dos dados
pessoais/sensíveis, é necessário
que sejam observados os aspec-
tos de privacidade. E as equipes
de engenharia, análise, desenvol-
vimento e testes, deverão ser ca-
pacitados, conforme a metodolo-
gia privacy by design.
2. Servidores
A metodologia de Hardening é
aplicada como padrão de segu-
rança em infraestrutura e servi-
dores, através do processo de ma-
peamento de ameaças, mitigação
de riscos e execução das ações
corretivas. O objetivo principal
dos padrões recomendados neste
52. 52 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
modelo é tornar o ambiente me-
nos suscetível a invasões.
A efetividade deste modelo
deve considerar três fatores:
segurança, risco e flexibilidade.
Mantê-los balanceados será o
desafio desta implementação,
visto que, quanto mais seguro
for o servidor, menos flexível
ele se tornará.
Deve ser sempre lembrado que a
aplicação de patches de correção/
segurança e a utilização de siste-
mas operacionais com suporte do
fornecedor é regra fundamental
para um ambiente seguro.
3. Rede interna
Inicialmente deve-se pensar na
rede de dados interna como o ca-
minho que permite aos usuários
chegar até as informações dese-
jadas, sendo assim, prima-se pela
continuidade e disponibilidade
deste meio, bem como, para dar
vazão a todas as necessidades de
todos os setores da organização.
Como forma de adicionar segu-
rança a este meio, as instituições
devem adicionar alguns compo-
nentes a ela:
Software de antivírus: este
recurso é utilizado para
detectar e deter ameaças,
uma vez que já estão salvas
e/ou instaladas nos com-
putadores ou servidores.
Segmentação da rede: é
a divisão da rede em sub
redes, para evitar que ano-
malias e ameaças se mul-
tipliquem para diversos
setores da organização, au-
mentando a possibilidade
de efetividade e danos.
Access Control List (ACL):
oulistadecontroledeaces-
so, referente às permissões
atribuídas a um objeto que
especificam quais usuários
recebem acesso ao mesmo
tempo e as operações que
ele pode executar.
Network Access Control
(NAC): já com alternativa
open source para algumas
53. 53LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
distribuições de sistemas
operacionais, o NAC é
fundamental para colocar
os dispositivos em conso-
nância com as regras de
segurança estabelecidas
pela organização. Com a
crescente utilização dos
dispositivos BYOD, este
protocolo passa a ser um
forte aliado.
Senhas fortes: atualmen-
te já está se falando em
abolir a troca periódica
de senhas, já tendo pu-
blicações realizadas pelo
NIST (National Institute
of Standards and Tecnolo-
gy) defendendo esta ação,
assim como, a Microsoft
também adicionou esta
prática como padrão. Am-
bos afirmam que o uso de
senhas complexas e lon-
gas são mais seguras do
que a troca periódica de
senhas. Considera-se nes-
ta orientação que os usu-
ários tendem a seguir pa-
drões nas trocas de suas
senhas, o que torna fácil
quebrá-las.
4. Perímetro
No perímetro são instalados
equipamentos (firewall, roteador,
etc.), e neles são definidas regras
para evitar acessos a sites que
contenham conteúdos e/ou ar-
quivos nocivos ao ambiente de TI.
Outro aliado é o protocolo DLP
(Data Loss Prevention), geralmen-
te é uma funcionalidade oferecida
pelo equipamento de firewall, mas
também pode ser uma solução in-
dependente. Ele é responsável por
garantir que dados sensíveis não
saiam da rede interna para a rede
externa (internet).
5. Física
Esta, sem dúvida, é a prática de
segurança mais antiga, pois des-
de os primórdios guardamos ati-
vos de valor em locais trancados
e a chave é oferecida apenas às
pessoas que tenham real neces-
54. 54 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
sidade de acesso aos objetos ali
armazenados.
Quando este assunto é associado
ao meio digital, a segurança física
se dá aos equipamentos que ar-
mazenam ou acessam os dados,
portanto a utilização de contro-
les de acessos (sejam sensores
biométricos, sensores de retina
ou apenas uma chave), a conces-
são ou revogação dos acessos aos
indivíduos deve ser rigorosamen-
te gerenciada.
6. Política, procedimentos e
conscientização
Promover a cultura de segurança
para as pessoas é o maior desa-
fio das organizações, portanto,
é sempre recomendado que as
instituições busquem promover
treinamento para suas equipes,
fomentando a prática de utiliza-
ção do meio digital com seguran-
ça, moderação e sigilo.
O desenvolvimento da Política de
Segurança da Informação, Política
de Gestão de Mudanças, política
de uso de e-mail, política de uso
de internet, entre outras, faz parte
das ações de construção de dire-
trizes promovidos pelas organiza-
ções, na busca de incutir regras
seguras em seus colaboradores.
Além disso, devemos adequar a es-
trutura operacional e técnica das
instituições para viabilizar e cum-
prir com todos os direitos que a lei
garante ao titular do dado. Desen-
volver mecanismos que permita
ao titular exercer o seu direito de
forma fácil e gratuita.
55. 55LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
C.
FORMULÁRIOS E
FLUXOS DE DADOS
NOS HOSPITAIS
A conformidade com a lei pode ser verificada com um conjunto de for-
mulários, dentre os quais destacamos a importância de uma linguagem
clara e objetiva.
Algumas instituições estão implantando um Termo de Esclarecimento
que consiste numa forma de se manter desde já uma linha direta com
seus clientes, pacientes/responsáveis.
A seguir um exemplo de termos básicos que podem compor o re-
ferido termo:
Lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD)
O Hospital XXXXXX protege a confidencialidade de dados pessoais e dados sensí-
veis que lhe são confiados pelo paciente e titular desses dados. Para isso, vem im-
plementando medidas de segurança, técnicas e administrativas, aptas a proteger os
dados pessoais contra acessos não autorizados e de situações acidentais, ou qual-
quer forma de tratamento inadequado, necessárias ao cumprimento da Lei Geral de
Proteção de Dados (Lei n° 13.709/2018). Regras de boas práticas e de governança
garantem que o tratamento de dados pessoais e sensíveis seja lícito, leal, transpa-
rente e limitado às finalidades autorizadas a que se destina. A coleta de dados pesso-
56. 56 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
ais e dados sensíveis para tratamento é realizada pelo Hospital XXXXXX com base
em medidas necessárias para assegurar a exatidão, integridade, confidencialidade, e
anonimização, bem como garantir o respeito à liberdade, privacidade, inviolabilidade
da intimidade, imagem, enfim, todos os direitos dos titulares, inclusive o exercício
do direito de solicitar acesso, correção e eliminação de dados pessoais e sensíveis
armazenados em banco de dados e sistema digital do Hospital XXXXX.”
Outro documento fundamental para nossa atividade é o Consen-
timento Livre e Esclarecido. O consentimento deve ser obtido em
conformidade com a lei, que em seu artigo 5º XII define:
“Para os fins dessa lei considera-se:
Consentimento: manifestação livre, informada e inequívoca pela
qual o titular concorda com o tratamento de seus dados pessoais
para uma finalidade determinada”.
Ao ponderar pelo tratamento de seus dados pessoais, o paciente
deve ter informações suficientes sobre a instituição, os serviços e
o tratamento de seus dados, a fim de que possa entender o escopo
do contrato ao qual está aderindo e tomar uma decisão consciente.
Para que o consentimento seja considerado informado, devem ser
fornecidas aos pacientes ao menos informações sobre a identi-
dade da empresa responsável pelo tratamento de dados (quando
contratada) e as finalidades a que o tratamento se destina.
A aceitação do paciente, como ato jurídico, sujeita-se ainda aos
chamados vícios de consentimento (erro, dolo, coação, etc.), os
quais, quando verificados, importam na ineficácia da manifesta-
ção de vontade e consequente nulidade do vínculo contratual.
Não se pode admitir a validade de consentimento, por exemplo,
de quem assentiu por erro ou ignorância. Por esse motivo, é fun-
57. 57LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
damental que a instituição seja transparente com seus pacientes,
fornecendo-lhes o máximo de informações possíveis sobre as fi-
nalidades da coleta de dados.
O consentimento inequívoco depende de manifestação por meio
de um ato positivo do paciente. Em outras palavras, deve haver
uma ação do paciente indicando sua aceitação, seja pelo envio de
um e-mail, assinatura eletrônica, ou até mesmo por um clique em
local determinado.
A aceitação não pode ser passiva, de forma que o silêncio do pa-
ciente não pode ser considerado consentimento.
Outro exemplo que merece atenção é o uso de checkboxes indi-
cando aceitação aos Termos de Uso ou Políticas de Privacidade
quando feito o cadastro. Nos termos da lei, por depender o con-
sentimento de uma ação positiva do paciente/usuário, é impres-
cindível que este efetivamente clique na respectiva checkbox indi-
cando sua concordância. Se a checkbox já estiver preenchida no
formulário de cadastro, não haverá uma ação do paciente/usuário
para aceitação, podendo o consentimento vir a ser invalidado em
caso de discussão judicial.
O mesmo vale para eventuais alterações aos Termos de Uso ou
Políticas de Privacidade. Havendo modificações substanciais
quanto ao modelo de negócios da instituição ou, ainda, quanto
à forma de tratamento de dados dos pacientes, por exemplo, o
consentimento originalmente fornecido não será mais válido,
sendo necessária comprovação de novo ato positivo do paciente
demonstrando sua aceitação.
A coleta de dados deve ser sempre vinculada a uma ou mais fina-
lidades específicas e informadas na respectiva Política de Privaci-
dade, sendo coibido o uso de dados para fins não previstos, sem
prévio consentimento do paciente.
Como ideia preliminar, abaixo uma proposta que deve ser adapta-
58. 58 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
da por cada instituição, além de cláusulas e/ou anexos nos con-
tratos firmados pelo hospital, de modo que esclareça a adesão às
legislações e às políticas institucionais.
TERMO DE CONSENTIMENTO (MODELO)
N° Nome:
Data de nascimento: Sexo: RG:
Contato: Cel.: Entrada:
Operadora: Num.
Possuímos o propósito de ser um agente transformador da saúde, com
medicina de excelência, atendimento e humanização e prevenção de riscos na
saúde para melhorar a vida das pessoas!
Para que possamos prestar um serviço adequado e de alto padrão, nós do
XXX, solicitamos que você nos forneça algumas informações pessoais e de saúde,
para poder oferecer a melhor experiência durante os nossos serviços.
O tratamento desses dados seguirá as diretrizes da nossa Política de Pri-
vacidade, disponível no endereço eletrônico XXX. Seus dados serão tratados por
nós pelo prazo permitido pela legislação brasileira e poderão ser utilizados para as
finalidades descritas abaixo. Para que isso seja possível, solicitamos que você dê
seu consentimento.
Ao concordar com esse termo, você estará dando seu consentimento
para que possamos:
1) Realizar o seu exame pretendido; 2) Elaborar os resultados e laudos
dos seus exames, nos permitindo entrar em contato com você para mantê-lo in-
formado, quando necessário, sobre agendamentos dos seus exames, bem como
sobre o andamento e os resultados deles e possíveis necessidades de procedi-
mentos confirmatórios ou novas coletas; 3) Colaborar com o desenvolvimento de
novos produtos, serviços, eventos e oportunidades promovidas pela XXX; 4) Gerar
análises e estudos que contribuam com a melhoria de nossas atividades e aper-
feiçoem o uso e a experiência interativa em nossos sites, plataformas, produtos e
serviços; 5) Transferência de dados para terceiros parceiros da XXX que atendam
aos requisitos técnicos e para as finalidades presentes em nossa Política de Pri-
59. 59LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
vacidade; 6) Promover ações de engajamento e disponibilização de programas de
monitoramento, dicas e orientações em relação a sua própria saúde; 7) Notificá-lo
acerca de nossas campanhas educacionais e de marketing, as quais terão o intui-
to de auxiliá-lo a melhorar a sua saúde e bem-estar; 8) Permitir contato direto da
XXX com seu médico e direcionamento precoce de suas informações de saúde e
exames para que seu cuidado possa ser realizado de forma ágil e efetiva; 9) Com
base nos seus dados de saúde, convidá-lo a participar das iniciativas de prevenção,
promoção e atenção à saúde desenvolvidas por parceiros, sem que, desta forma,
seus dados sejam compartilhados com estes, que não os profissionais de saúde
que venham a prestar atendimento a você; 10) Demais finalidades presentes em
nossa Política de Privacidade.
Informamos também que seus dados poderão ser armazenados e utiliza-
dos para o atendimento de obrigação legal ou regulatório que a XXX tenha que
cumprir, bem como para o exercício regular de direitos, conforme expresso na Lei
Geral de Proteção de Dados (lei n° 13.709/2018).
Saiba que você é o titular dos seus dados pessoais e está livre para, a
qualquer momento, solicitar o acesso, a retificação, a exclusão, a portabilidade,
entre outros direitos.
Ainda, caso você tenha alguma dúvida de como seus dados estão sendo
tratados, entre em contato conosco através XXX.
CONCORDO NÃO CONCORDO
___________________________________________________
ASSINATURA/NOME
61. 61LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
De acordo com a ISO 27002, um incidente de segurança da informa-
ção é indicado por um simples ou por uma série de eventos de segu-
rança da informação indesejados ou inesperados, que tenham uma
grande probabilidade de comprometer as operações do negócio e
ameaçar a segurança da informação.
Para a Lei Geral de Proteção de Dados, pode ser considerado um inci-
dente de segurança:
Qualquer acesso não autorizado a dados que contenham infor-
mações pessoais que possam identificar o indivíduo;
Vazamento de informações de um único registro ou base de da-
dos contendo informações pessoais;
Perda das informações pessoais.
A instituição deve possuir um plano estruturado com fluxo de etapas
com papéis e responsabilidades bem definidos para responder inci-
dentes de segurança. Recomendamos a utilização do Manual de Inci-
dentes de Segurança disponibilizado pelo National Institute of Standard
Technology (800-53) e/ou ISO 27035 Security Incident Management.
Incidentes que deverão ser reportados à Autoridade Nacional de Pro-
teção de Dados (ANPD):
Quando ocorrer um vazamento, acesso não autorizado ou perda
de informações pessoais.
Quando houver um risco muito alto associado a dados pessoais e
não tiver controles mitigatórios suficientes aplicados no momento.
62. 62 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
A.
RELATÓRIO
DE IMPACTO
De acordo com a LGPD, Art. 5, Parágrafo XVII, a definição de rela-
tório de impacto à proteção de dados pessoais é: “documentação do
controlador que contém a descrição dos processos de tratamento de
dados pessoais que podem gerar riscos às liberdades civis e aos direitos
fundamentais, bem como medidas, salvaguardas e mecanismos de mi-
tigação de risco”.
Desta forma podemos considerar que o relatório deve conter minima-
mente:
Descrição dos tipos de dados coletados;
Riscos associados;
Medidas e controles de segurança da informação adotados;
Plano de ação de mitigação de riscos.
63. 63LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
B.
MECANISMOS
INTERNOS DE
SUPERVISÃO
Para que haja um controle adequado dos incidentes de segurança da
informação, é necessário que as instituições tenham mecanismos in-
ternos de controle e auditoria bem definidos e que sejam atualizados
constantemente para que possam identificar e definir os prováveis ris-
cos de forma rápida. Para isto é necessário:
Conter um processo contínuo de revisão dos relatórios de im-
pacto de proteção de dados, riscos, planos de ação e de fatores
que possam alterar o nível do risco;
Possuir monitoração contínua do ambiente contendo dados
pessoais para identificar e alertar um possível incidente;
Possuir um canal para reporte externo para investigação de um
possível incidente;
Monitorar canais internos e externos de divulgação de inciden-
tes de segurança relacionado a instituição.
64. 64 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
C.
MEDIDAS
DE MITIGAÇÃO
DE RISCOS
A lei define como boas práticas e governança a implantação de pro-
cessos e controles com o objetivo de redução de riscos de vazamento
ou perda de informações. A adoção destas medidas será analisada
como fator de redução de possíveis multas aplicadas pela ANPD. Re-
comendamos como principais medidas:
Conscientização contínua de colaboradores e parceiros:
70% dos incidentes de segurança ocorrem devido à falha
humana relacionada à falta de conhecimento ou ações
intencionais. Todos os colaboradores devem conhecer as
políticas de segurança e privacidade da instituição e serem
treinados adequadamente, no mínimo uma vez ao ano.
Conjunto de políticas com as diretrizes definidas pela institui-
ção para serem utilizadas nos processos de conscientização e
para que medidas disciplinares sejam aplicadas em caso de não
conformidade, tais como:
Política de segurança da informação;
65. 65LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
Política de privacidade;
Política de classificação da informação;
Política de controle de acesso.
Levantamento das interfaces de troca de informações contendo
dados pessoais e sensíveis:
É necessário que a instituição conheça os processos de arma-
zenamento, processamento e transferência de dados pesso-
ais em todos os meios, como, por exemplo, papel e digital;
Com base neste levantamento, serão aplicados os con-
troles de proteção e salvaguarda legal, além de fornecer a
base inicial para a elaboração de relatórios de impacto de
proteção de dados.
Monitoração contínua e proteção contra vazamento de informação:
Mecanismos técnicos para classificar, identificar, alertar
e bloquear possíveis vazamentos de dados pessoais;
Utilizar os mecanismos como forma de conscientização
do usuário final.
Implantação de um processo de gestão de consentimento:
Fornecer uma interface para que o indivíduo possa autori-
zar, bloquear, revogar o consentimento para o tratamento
dos seus dados pessoais;
66. 66 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
Fornecer relatórios com trilhas de auditoria para compro-
vação legal do consentimento ou revogação do indivíduo,
tanto como a tratativa dos dados e sua portabilidade;
Possuir granularidade e especificidade do nível de con-
sentimento de acordo com a exigência da norma.
Criptografia em base de dados:
Possibilitar a anonimização e pseudonomização, evitan-
do que, mesmo os profissionais com acesso privilegiado
para administração da base, acessem o seu conteúdo.
Desenvolvimento seguro (privacy by design):
Implementar o desenvolvimento seguro nos novos projetos;
Realizaraçõesderevisãoeadequaçãodosambienteslegados.
Continuidade de negócios:
Garantir a efetividade de cópias de segurança e que tes-
tes de recuperação sejam realizados periodicamente;
Fornecer infraestrutura e plano de recuperação de desas-
tre para os ambientes que fazem escopo da lei.
67.
68. 68 ANAHP - ASSOCIAÇÃO NACIONAL DE HOSPITAIS PRIVADOS
associação nacional
de hospitais privados
anahp
www.anahp.com.br